Hyperliquid 安全吗？诚实的风险评估

Hyperliquid 是非托管的，在没有合约漏洞的情况下处理了海量交易量，你的资金由你的钱包控制，而非由某家公司代为保管。以加密行业的标准来看，这是一个扎实的起点。但对于任何带杠杆的链上平台，「安全」都不是一个准确的描述——诚实的回答是直面风险，而非将其轻描淡写。

以下是真正值得关注的风险，按重要程度大致排序：

• Arbitrum 桥接合约：持有用户存入的 USDC 的这份合约是系统中最大的蜜罐，也是最具吸引力的攻击目标。
• 验证者集中度：验证者集合规模较小，且已表现出干预市场的意愿，JELLY 事件便是明证。
• 市场结构风险：低流动性代币可被操纵，将损失转嫁至 HLP 金库，此类事件已发生不止一次。
• 你自己的杠杆：大多数人在这里亏钱，是因为被清算，而非协议出现故障。

这些风险单独来看都不是决定性的。综合来看，它们描绘出一个合规且经过大规模实战检验的平台——但足够年轻，你在调整仓位和存款时，应当预设某天某处会出现问题。以下是每个风险点的详细说明。

关于 Hyperliquid 最重要的安全事实是：你自己保管资金。这里没有银行意义上的 Hyperliquid 账户。你的保证金是 USDC，存放在由你的钱包控制的仓位中，交易所无法在未经你授权的情况下转移资金。这是与中心化交易所的结构性差异，也使得 FTX 式的失败模式不可能在这里发生：没有运营商拿着客户存款去放贷、赌博或亏损。

在订单簿上高频交易，同时用硬件钱包对每笔操作签名，实际上不可行。因此 Hyperliquid 采用了代理钱包模型（有时也称 API 钱包）。你授权一个独立密钥，允许它代表你下单和撤单。关键限制是：代理钱包只能交易，不能提款。即便代理密钥遭到泄露，攻击者也只能乱操作你的仓位，无法将资金提出平台。提款必须使用你的主钱包。

抵押品是 USDC，仅此而已。这使记账简洁，也避免了那些允许以波动性或低流动性资产充当保证金的平台所带来的连锁抵押品风险。唯一的问题是，你的 USDC 必须先进入 Hyperliquid L1，而这需要通过一座桥接合约——真正有趣的风险就在这里。

Hyperliquid 运行自有 L1，但你存入的 USDC 是通过 Arbitrum 上的桥接合约进入的。该合约持有支撑整个系统的汇总抵押品，因此是最显而易见的攻击目标。桥接在加密安全史上是最糟糕的类别，造成了一些有史以来规模最大的盗窃案，原因在于它们将巨额价值集中在必须完美无缺的代码背后。Hyperliquid 的桥接迄今未遭到漏洞利用。但它同样是一旦出现灾难性故障，会一次性出现最大损失的地方。

谁来保障桥接的安全至关重要，而这正是真实权衡所在。桥接提款受验证者签名把关，因此资金的安全程度完全取决于验证者集合的诚信度。Hyperliquid 最初仅有四个验证者——这对于保管如此大规模资金的系统而言，集中程度令人担忧：只需勾结或攻破少数密钥，理论上就能清空桥接。验证者集合此后已扩展至约二十余名，这是一个真实且有意义的改进。

小型验证者集合还有另一个更微妙的维度：它能够行动。少数验证者可以快速协调，在市场承压时进行干预。当这种干预阻止金库爆仓时，听起来像是一项功能——JELLY 事件中确实如此。但这也是穿着安全背心的中心化风险：能够拯救金库的同样能力，也是通过投票推翻市场结果的能力。两种视角都需要同时持有。

一份略过具体事件的安全评估，不过是一份营销材料。以下是实际发生的事情、当时的应对方式，以及事后的改变。值得注意的是，这些都不是合约漏洞，而是市场结构层面的攻击和试探。

JELLY 轧空事件（2025 年 3 月）

一名交易者在流动性极低的 JELLY 代币上建立了大量空头头寸，随后买入底层现货拉高价格，迫使空头深度亏损。由于仓位相对于代币流动性过大，由此产生的损失威胁到 HLP 金库——因为 HLP 站在清算的另一侧。验证者投票将 JELLY 下架，并以指定价格强制结算未平仓头寸，将协议损失控制在约 400 万美元。此次干预在狭义上奏效了：HLP 避免了更大的冲击。但它也受到了尖锐且合理的批评——验证者投票改写市场结果，正是去中心化本应消除的自由裁量权力。事后，Hyperliquid 收紧了小市值市场的持仓限额和风险参数，以降低此类轧空的可行性。

POPCAT 清算事件（2025 年 11 月）

2025 年下半年，POPCAT 的大规模清算连锁再次通过流动性薄弱、波动剧烈的市场向 HLP 金库施压。其机制与 JELLY 如出一辙：风险集中在订单簿过浅、无法消化的代币上。这次事件进一步印证了一个教训：这里的软肋不是智能合约，而是低流动性代币的长尾，并推动各方更加关注逐市场风险控制，以及金库对此类市场的敞口应控制在多大程度。

Lazarus 试探（2024 年 12 月）

2024 年 12 月，安全研究人员标记了链上活动，其模式与朝鲜 Lazarus 黑客组织测试 Hyperliquid 一致：来自过往国家支持盗窃案关联地址的交易，被广泛解读为侦察行为而非正式攻击。没有资金损失。这提醒我们：一个持有如此规模价值的协议，永远处于地球上最具威胁性的攻击者的雷达之下，而桥接合约正是他们的踩点目标。

HLP（Hyperliquid 流动性提供者金库）常被当作收益产品来讨论。它不是。HLP 是一种社区资助的做市和清算策略。你存入资金后，你的 USDC 会被用于承接对手方交易、吸收清算，你将与该策略的盈亏共担。那个「亏」字至关重要。

HLP 在大多数历史时期都是盈利的，这正是它容易被误认为储蓄账户的原因。请抵制这种认知偏差。两个实际要点：存款有锁定期，这意味着你不一定能在心生担忧时立即撤出；收益取决于交易条件，而非任何人许诺给你的固定利率。如果你选择配置 HLP，请将其作为风险资本——你能接受看着它下跌的那部分，而非你投资组合中的安全角落。

在 Hyperliquid 亏钱的大多数人，并非黑客攻击的受害者。他们要么被清算，要么将资金存入了自己并不理解的产品。可控风险才是真正值得专注的，因为那才是真正清空账户的东西。

• 充分利用代理钱包模型：将有提款权限的密钥存入冷存储，通过授权的代理钱包进行交易。交易密钥绝不应该是能将你的资金转出平台的那把密钥。
• 按能承受错误的仓位大小交易：开仓前先决定这笔交易你最多能亏多少，然后根据这个上限设定仓位大小。杠杆的数学是无情的，一个让你坐立不安的仓位，就是一个过大的仓位。
• 不要把杠杆拉满：高杠杆意味着只需极小的价格波动就能将你清算。一根波动代币上的正常 K 线，就能抹平一个高倍杠杆仓位。低杠杆不是懦弱，而是留在牌桌上的方式。
• 在薄流动性市场保持谨慎：所有压力事件的起点都是小市值、低流动性的代币。更宽的价差和浅薄的订单簿意味着你的清算可能以极难看的价格成交。除非你对长尾市场有特定专业认知，否则请交易流动性深厚的市场。
• 将金库存款视为风险资本：如果你要向 HLP 或任何金库存款，请先理解锁定期和损失社会化模型，且只承诺你能接受下跌的资金量。
• 核实你使用的前端：协议可以是非托管的，界面却可能是钓鱼仿冒站点。确认 URL、将其加入书签，并对任何要求你批准异常签名的网站或私信保持警惕。

Hyperliquid 是 DeFi 领域最具公信力的项目之一。托管模型切实可靠，合约在真实交易量和来自该领域最危险攻击者的探测下经受住了考验，团队在事件发生后选择收紧系统，而非掩盖问题。如果你对「安全」的定义是「非托管且不是骗局」，它轻松达标。

如果你的标准是「不会出任何问题」，那任何东西都达不到，Hyperliquid 也绝不会假装自己能做到。桥接合约是永久的攻击目标，验证者集合在改善但仍然集中，金库可能亏损并将损失转嫁给你，一个守护着数十亿资金的年轻协议将持续面临考验。JELLY 事件在一次事件中同时展现了这一模型的优势与令人不安之处：金库得到了拯救，代价是一次验证者投票。

成熟的结论不是简单的「是」或「否」。而是：合规、构建扎实、值得使用——前提是你用自己的密钥交易、保持理性的杠杆倍数、远离你不了解的薄流动性市场，并且绝不向金库存入超出你能承受亏损范围的资金。做到这些，你承担的是任何前沿系统都存在的残余协议风险——这是一个公平的代价，换来的是不必将自己的钱托付给交易所。假装风险不存在，Hyperliquid 终将以代价高昂的方式让你明白这一点。